Pour gérer vos consentements :
Categories: CyberguerreSécurité

SolarWinds : quand des logiciels légitimes servent de backdoors

Vous utilisez la suite logicielle Orion de SolarWinds pour gérer vos infrastructures IT ? Faites preuve de vigilance. Ni le CERT français, ni son homologue européen n’a émis d’alerte dans ce sens. Pour autant, la vigilance en question semble se justifier au vu des alertes qui remontent outre-Atlantique.

Sur place, le département de la Sécurité intérieure des États-Unis a émis, ce dimanche, une directive d’urgence. L’essentiel des agences fédérales sont priées d’éteindre – ou de déconnecter de leur réseau – toutes leurs installations d’Orion à partir de la version 2019.4. Elles ont interdiction de procéder à une reconnexion jusqu’à nouvel ordre du gouvernement. Et ont jusqu’à ce lundi minuit (heure du Pacifique) pour rapporter aux autorités d’éventuels indicateurs de compromis.

En toile de fond, un gros problème de sécurité que SolarWinds a reconnu ce dimanche. En l’occurrence, une attaque de type « supply chain ». Elle s’est traduite par l’injection, entre mars et juin derniers, d’un cheval de Troie dans des mises à jour officielles d’Orion.

FireEye évoque de nombreuses victimes, et pas seulement aux États-Unis. L’éditeur mentionne aussi l’Europe, le Moyen-Orient et l’Asie. Il ne précise pas s’il fait lui-même partie des victimes. Mais sa communication le laisse penser, tant il l’inscrit dans la lignée du piratage qui a récemment donné lieu à l’exfiltration des outils de sa Red Team.

Une backdoor pour SolarWinds

Dans les grandes lignes, l’attaque s’appuie sur une porte dérobée mise en place par détournement de Core Business Layer, un plug-in Orion qui dispose de capacités de communication HTTP. L’ensemble du trafic réseau engendré dans ce cadre utilise un canal légitime : le programme d’amélioration d’Orion. Idem pour les informations récupérées sur le parc informatique : elles sont intégrées dans des fichiers de configuration.

Noms d’hôtes, adresses IP… Les assaillants – qu’on dit liés à un État ; possiblement la Russie – tentent de se fondre au maximum dans l’environnement de leurs cibles. Certains éléments peuvent toutefois les trahir, note FireEye. Entre autres, l’examen des certificats SSL RDP et des sessions SMB.

SolarWinds prévoit, pour ce mardi, un patch (2020.2.1 HF2) à double effet. D’une part, il remplacera le plug-in malveillant. De l’autre, il apportera une couche de sécurité supplémentaire. L’éditeur affirme que la faille ne s’applique ni à ses autres produits, ni à son activité MSP.

Les clients que SolarWinds met en avant sur son site sont basés très majoritairement aux États-Unis. Les principales exceptions en Europe évoluent dans le secteur des télécoms. Parmi eux, Ericsson, Swisscom et Telecom Italia.

Illustration principale © rawpixel.com via Adobe Stock

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

2 minutes ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

46 minutes ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

3 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

5 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

19 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

21 heures ago